Grupul Mint Sandstorm, legat de Iran, vizează specialiștii în afaceri din Orientul Mijlociu din universități și organizații de cercetare cu eforturi convingătoare de inginerie socială, care se încheie prin furnizarea de malware și compromiterea sistemelor victimelor.
Cea mai recentă campanie de spionaj a grupului Mint Sandstorm, care are legături cu armata iraniană, își propune să fure informații de la jurnaliști, cercetători, profesori și alți profesioniști care acoperă subiecte de securitate și politică de interes pentru guvernul iranian.
În conformitate cu un aviz Microsoft lansat în această săptămână, grupul de spionaj cibernetic folosește momeli legate de războiul Israel-Hamas, ceea ce a condus Microsoft la concluzia că grupul intenționează probabil să adune informații și perspective despre acest conflict de la experții în politici.
Grupul este bine cunoscut pentru eforturile sale persistente și susținute, se arată în analiză.
„Pacienți și ingineri sociali cu înaltă calificare”
Mint Sandstorm este Numele Microsoft pentru o colecție de echipe de operațiuni cibernetice legate de Corpul Gărzilor Revoluționare Islamice (IRGC), o componentă de informații a armatei iraniene.
Grupul se suprapune cu actori de amenințare cunoscuți ca APT35 de către Mandiant de la Google și Pisicuță fermecătoare de Crowdstrike; cea mai recentă campanie de spionaj este probabil condusă de un „subgrup matur din punct de vedere tehnic și operațional al Mint Sandstorm”, a spus compania.
„Operatorii asociați cu acest subgrup de Mint Sandstorm sunt ingineri sociali răbdători și foarte calificați, cărora le lipsesc multe dintre caracteristicile care permit utilizatorilor să identifice rapid e-mailurile de phishing”, a declarat Microsoft Threat Intelligence în analiză. „În unele cazuri ale acestei campanii, acest subgrup a folosit și conturi legitime, dar compromise pentru a trimite momeli pentru phishing.”
Grupul este bine cunoscut pentru campaniile sofisticate de inginerie socială, potrivit Secureworks, care consideră că Mint Sandstorm de la Microsoft se aliniază cel mai mult cu grupul Secureworks Counter Threat Unit (CTU) numit „Cobalt Illusion”.
Grupul desfășoară în mod regulat activități de supraveghere și spionaj împotriva celor considerați a fi o amenințare pentru guvernul iranian – de exemplu, vizează cercetătorii care documentează anul trecut suprimarea femeilor și a grupurilor minoritare, spune Rafe Pilling, directorul de cercetare a amenințărilor pentru CTU.
„Orice instituție sau cercetător care studiază subiecte de interes strategic sau politic pentru guvernul Iranului sau pentru funcțiile lor de informații subordonate ar putea fi o țintă”, spune el. „Am văzut jurnalişti şi cercetători academicieni care acoperă probleme politice, politice şi de securitate din Iran şi Orientul Mijlociu, precum şi OIG-uri şi ONG-uri care lucrează în Iran sau în zone de interes pentru Iran”.
Imitatori extraordinari
Grupul desfășoară deseori desfășurarea unor activități intensive în resurse Inginerie sociala campanii împotriva grupurilor sau indivizilor vizați, la fel ca Grupul rus APT ColdRiver, de asemenea, subiectul analizei informațiilor despre amenințări în această săptămână. Adoptarea aspectului jurnaliștilor sau al cercetătorilor cunoscuți este o tactică tipică a Mint Sandstorm, iar vizarea instituțiilor de învățământ a luat de asemenea avânt.
În mod obișnuit, Mint Sandstorm se va implica cu persoana vizată sub pretextul de a solicita un interviu sau de a iniția o conversație despre anumite subiecte, în cele din urmă manipulând firul de e-mail până la punctul în care individul poate fi convins să facă clic pe un link, spune Pilling de la Secureworks.
Dacă grupul poate fura acreditările pentru un cont de e-mail, le va folosi adesea pentru a se prezenta mai bine ca jurnalist sau cercetător legitim, spune Pilling.
„De fapt, compromiterea contului de e-mail al unui jurnalist pentru a viza apoi alte persoane este mult mai puțin obișnuită, dar nu nemaiauzită”, spune el. „Unele grupuri sponsorizate de stat vor compromite organizațiile cu care țintele lor lucrează pentru a trimite atacuri de tip phishing în care ținta lor reală are mai multe șanse să aibă încredere.”
Uși din spate personalizate pentru spionaj cibernetic
Odată ce atacatorii au obținut relație cu ținta lor, ei trimit un e-mail care conține un link către un domeniu rău intenționat, ducând adesea la un fișier de arhivă RAR despre care susțin că conține o schiță de document pentru examinare. Printr-o serie de pași, atacatorii ar renunța în cele din urmă la unul dintre cele două programe personalizate de tip backdoor: MediaPI, care se prezintă drept Windows Media Player, sau MischiefTut, un instrument scris în PowerShell.
„Mint Sandstorm continuă să îmbunătățească și să modifice instrumentele utilizate în mediile țintelor, activitate care ar putea ajuta grupul să persistă într-un mediu compromis și să evite mai bine detectarea”, a declarat Microsoft.
Grupurile susținute de statul național și infractorii cibernetici motivați din punct de vedere financiar împărtășesc adesea tehnici, astfel încât utilizarea backdoor personalizată este un notabil, a scris Callie Guenther, manager senior pentru cercetarea amenințărilor cibernetice la Critical Start, într-o declarație.
„Răspândirea acestor tactici ar putea semnala o escaladare generală a peisajului amenințărilor cibernetice”, a spus ea. „Ceea ce începe ca un atac țintit, motivat geopolitic, ar putea evolua într-o amenințare mai răspândită, care afectează un număr mai mare de organizații și indivizi.”
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/vulnerabilities-threats/microsoft-iran-mint-sandstorm-apt-blasts-educators-researchers
- :are
- :este
- :nu
- 7
- a
- Despre Noi
- academic
- Conform
- Cont
- Conturi
- activităţi de
- activitate
- actori
- de fapt
- Adoptarea
- afaceri
- care afectează
- împotriva
- isi propune
- alinia
- permite
- de asemenea
- an
- analiză
- și
- Orice
- APT
- arhivă
- SUNT
- domenii
- ARM
- AS
- asociate
- At
- ataca
- Atacuri
- ușă din dos
- Backdoors
- BE
- fiind
- Mai bine
- dar
- by
- apeluri
- Campanie
- Campanii
- CAN
- pretinde
- clic
- îndeaproape
- Cobalt
- colectare
- Comun
- companie
- compromis
- compromis
- compromisor
- încheia
- conduite
- conflict
- luate în considerare
- consideră
- conține
- continuă
- Conversație
- convins
- ar putea
- Contracara
- acoperi
- scrisori de acreditare
- critic
- personalizat
- cybercriminals
- livrarea
- Detectare
- Director
- document
- domeniu
- proiect
- Picătură
- de est
- de învăţământ
- educatori
- Eforturile
- e-mailuri
- angaja
- Inginerie
- inginerii
- Mediu inconjurator
- medii
- Escaladarea
- spionaj
- sustrage
- în cele din urmă
- evolua
- exemplu
- experți
- Fișier
- financiar
- Pentru
- frecvent
- din
- funcții
- dobândită
- aduna
- geopolitic
- Guvern
- grup
- Grupului
- Pază
- înfățișare
- Avea
- he
- ajutor
- extrem de
- HTTPS
- identifica
- Iluzia
- îmbunătăţi
- in
- individ
- persoane fizice
- informații
- instituții
- Inteligență
- intenționează
- interes
- Interviu
- în
- Iran
- iranian
- Islamice
- probleme de
- IT
- ESTE
- ziarist
- jurnaliştii
- jpg
- cunoscut
- peisaj
- mai mare
- Nume
- Anul trecut
- Ultimele
- conducere
- legitim
- mai puțin
- ca
- Probabil
- LINK
- legate de
- rău
- malware
- manager
- manipulant
- multe
- matur
- Mass-media
- Microsoft
- De mijloc
- ar putea
- Militar
- minoritate
- mentă
- modifica
- mai mult
- cele mai multe
- motivat
- mult
- ONG-urile
- notabil
- număr
- of
- de pe
- de multe ori
- on
- ONE
- Operatorii
- or
- organizații
- Altele
- afară
- global
- pacient
- perspective
- Phishing
- atacuri de phishing
- Plato
- Informații despre date Platon
- PlatoData
- player
- Punct
- Politica
- politic
- pune
- ridică
- PowerShell
- profesioniști
- Programe
- repede
- real
- regulat
- legate de
- solicitând
- cercetare
- cercetător
- cercetători
- consumatoare de resurse
- revizuiască
- revoluționar
- Alerga
- s
- Said
- spune
- securitate
- văzut
- trimite
- senior
- serie
- Distribuie
- ea
- Semnal
- calificat
- So
- Social
- Inginerie sociala
- unele
- sofisticat
- specialiști
- specific
- răspândire
- Începe
- stabilit
- Declarație
- paşi
- Strategic
- Studiu
- subiect
- suprimarea
- supraveghere
- sisteme
- tactică
- luate
- Ţintă
- vizate
- direcționare
- obiective
- echipe
- tehnic
- tehnici de
- acea
- lor
- apoi
- Acestea
- ei
- acest
- în această săptămână
- aceste
- amenințare
- actori amenințători
- Prin
- Legături
- la
- instrument
- subiecte
- de încredere
- Două
- tipic
- unitate
- Universități
- utilizare
- utilizat
- utilizatorii
- utilizări
- Ve
- victime
- război
- we
- săptămână
- BINE
- Ce
- care
- OMS
- a caror
- pe scară largă
- voi
- ferestre
- cu
- în
- Femei
- Apartamente
- ar
- scris
- scris
- an
- zephyrnet